ACE#3(access-security)
金融機関では、Cloud Storage に格納する顧客データの暗号鍵を自社で管理する必要があります。鍵自体は Google Cloud 内で集中管理し、ローテーションや監査も Cloud で実施したい場合、どの方式を採用すべきですか?
正解:D
正解の根拠
Cloud KMS で生成した顧客管理暗号鍵 (CMEK) は Google Cloud 内で鍵を一元管理しつつ、所有権・ローテーション・無効化を顧客が制御できます。Cloud Storage バケットに CMEK を設定すれば、書き込まれる全オブジェクトが指定鍵で暗号化され、鍵の使用は Cloud Audit Logs に記録されます。鍵管理の運用負荷を最小化しながらコンプライアンス要件を満たせます。
サービス比較
| 項目 | 正解 (CMEK) | 不正解 (CSEK) |
|---|---|---|
| 鍵の保管場所 | Cloud KMS 内 | 顧客側で管理 |
| 運用負荷 | 低い | 高い (API 毎指定) |
不正解の理由
- A: デフォルト暗号化は Google が鍵を管理するため顧客側での制御要件を満たしません。
- B: CSEK は鍵を顧客側で保管し API 呼び出し毎に渡す必要があり、運用負荷と紛失リスクが高いです。
- C: アプリ層暗号化はストレージ要件と独立しており、Cloud KMS の監査・ローテーション機能を活用できません。
参考:顧客管理の暗号鍵
コメント